Se ha descubierto a ciberdelincuentes ejecutando un nuevo esquema de fraude malicioso dirigido a contratistas que buscan trabajo con el gobierno de Estados Unidos.
Los investigadores de Perception Point revelaron que la campaña “Uncle Scam” elude los controles de seguridad para entregar mensajes de phishing sofisticados diseñados por LLM para ser muy convincentes.
Los atacantes utilizan herramientas avanzadas, incluidas herramientas de phishing impulsadas por IA y… microsoft Plataforma Dynamics 365, para implementar ataques persuasivos de varios pasos.
Uso indebido de Microsoft Dynamics 365 y LLM
La campaña comienza con un correo electrónico de phishing que parece provenir de una agencia gubernamental legítima de EE. UU., como la Administración de Servicios Generales (GSA).
El correo electrónico invita a los destinatarios a presentar ofertas para proyectos federales, simulando avisos de adquisiciones reales, pero al hacer clic en el enlace proporcionado en el correo electrónico, el usuario es redirigido a un sitio web falso de la Administración de Servicios Generales que se parece mucho al sitio legítimo.
Los atacantes hicieron todo lo posible para copiar el sitio web oficial, incluso agregaron enlaces de navegación y una barra de búsqueda que redirige a los usuarios a páginas reales de GSA. Como referencia, la gama GSA legítima es www.gsa.gov, Mientras que el dominio fraudulento puede tener este formato “gsa-gov-dol-procurement-notice(.)procure-rfq(.)online”.
Una vez en el sitio de phishing, se solicita a los usuarios que se registren para una Solicitud de cotización (RFQ) proporcionando su correo electrónico y otros detalles. Este paso adicional no es sólo para mostrar, está diseñado para hacer que su intento de phishing sea más convincente y evitar la detección. Los atacantes complican aún más las cosas al incluir una página CAPTCHA, lo que dificulta que las herramientas de seguridad automatizadas accedan a la página de recopilación de credenciales.
Uno de los elementos clave que hace que esta campaña de phishing sea particularmente efectiva es el uso indebido de la plataforma de marketing Dynamics 365 de Microsoft. Los atacantes explotan el dominio “dyn365mktg.com”, asociado con Dynamics 365, para enviar correos electrónicos maliciosos. Debido a que este dominio está previamente autenticado por Microsoft y cumple con los estándares DKIM y SPF, es más probable que los mensajes de phishing eviten los filtros de spam y lleguen a las bandejas de entrada de destinatarios desinformados.
Esta credibilidad incorporada, junto con la alta capacidad de entrega de los correos electrónicos de este dominio, hace que un intento de phishing parezca legítimo y aumenta sus posibilidades de éxito. El uso de una plataforma de marketing confiable como Dynamics 365 agrega una capa de credibilidad a los mensajes de phishing, haciéndolos más convincentes y más difíciles de detectar.
La campaña “Uncle Scam” también utiliza modelos de lenguaje grandes (LLM) para elaborar correos electrónicos de phishing. Estos modelos avanzados permiten a los atacantes crear mensajes de phishing de alta calidad y con contexto preciso que imitan el tono y la estructura de las comunicaciones legítimas. Estos correos electrónicos suelen ser lingüísticamente correctos y tienen un tono profesional, ya que incorporan detalles específicos de las secciones burladas.
El uso de LLM permite a los atacantes escalar de manera eficiente sus esfuerzos de phishing. Pueden producir múltiples versiones del mismo mensaje de phishing con ligeras diferencias. Esta escalabilidad garantiza que cada correo electrónico sea único pero de calidad constante, lo que dificulta que las víctimas detecten el fraude.
Para proteger a su organización de ser víctima de sofisticados ataques de phishing como Uncle Scam, Perception Point recomienda tomar las siguientes precauciones:
- Vuelva a verificar el correo electrónico del remitente: verifique siempre la dirección de correo electrónico del remitente para detectar signos de suplantación de identidad.
- Pase el cursor sobre un enlace antes de hacer clic en él: antes de hacer clic en cualquier enlace, coloque el cursor sobre él para revelar la URL real y asegurarse de que sea legítima.
- Busque errores: preste atención a errores gramaticales simples, redacción inusual o inconsistencias en el contenido del correo electrónico.
- Aproveche las herramientas de detección avanzadas: implemente soluciones de seguridad de múltiples capas basadas en inteligencia artificial para detectar y neutralizar intentos de phishing sofisticados.
- Eduque a su equipo: capacite periódicamente a los empleados sobre cómo reconocer correos electrónicos fraudulentos y la importancia de comprobar las comunicaciones no solicitadas.
- Confíe en sus instintos: si un correo electrónico o una oferta parece demasiado bueno para ser verdad, probablemente lo sea. Verifique siempre la autenticidad de dichas comunicaciones a través de canales confiables.
Las tácticas de los ciberdelincuentes están evolucionando y la campaña de phishing “Uncle Scam” es un recordatorio de este hecho. Los piratas informáticos han desarrollado estafas de phishing muy convincentes y difíciles de detectar con la ayuda de plataformas confiables como Microsoft Dynamics 365 y herramientas avanzadas de inteligencia artificial. Sin embargo, mediante la vigilancia y medidas proactivas correctas, las organizaciones y empresas pueden protegerse de estas amenazas.